Vi har haft förmånen att träffa Kaja Narum tidigare. Det är alltid lika trevligt och givande. Därför såg vi fram emot ännu ett spännande samtal. Denna gång om vikten av att stanna upp och tänka till.
Kaja Narum arbetar som Business Unit Leader Nordic på IBM Security. Hon har en mångårig och gedigen erfarenhet av IT-säkerhet. Det var en anledning till att hon år 2018 blev headhuntad från Verizon. Hennes trygga ledarskap var en annan orsak samt hennes förmåga att skapa en tillit. Hon är helt enkelt en person som man lyssnar till och litar på.
Hon har det nordiska huvudansvaret för två affärsområden på IBM Security; Software och Services. Inom hennes totala ansvarsområde arbetar inte mindre än 120 personer. Hon berättar att hon har nytta av kombinationen av hennes affärsområden. Services fungerar lite som ”örat mot rälsen” och uppdaterar löpande Kajas grundsyn på vad som händer på marknaden och det aktuella hotläget. När ett företag drabbas av en attack sitter hon med i kristeamet och har direktkontakt med CISO. Hon vet vad hon pratar om, med andra ord.
Kaja Narum arbetar som Business Unit Leader Nordic på IBM Security
Nyligen skrev hon en krönika med rubriken ”Utgör jag en risk för mitt jobbs cybersäkerhet?”. Den väckte vår nyfikenhet och vi stämde träff med Kaja. Det blev ett glatt återseende.
Förändringens vindar blåser för fullt
När vi träffas har myndigheterna i såväl Norge, Kajas hemland, och Sverige börjat lätta på restriktionerna avseende den pågående pandemin. Även om det kan kännas tjatigt att prata om pandemin så är det ett faktum att den ännu inte är över. Dessutom är den en av orsakerna till de tankar som Kaja redovisar i sin krönika. Det handlar bland annat om att den lavinartade ökningen av hem- respektive distansarbete markant ökar hotbilden och attackytan för oss alla, både som privatpersoner och yrkesaktiva.
Vi behöver helt enkelt tänka i nya banor. Individer och företag.
”Det klassiska skyddet mot en IT-attack är perimeterupplägget. Man bygger upp murar, i form av brandväggar med mera, runt sin IT-miljö. Det bygger på att alla fysiskt befinner sig på arbetsplatsen när de arbetar med företagets data och annan känslig information. Det är länge sedan E-post och USB-minnen dök upp och blev en del av vår vardag. I samma veva tog Internet steget in i våra hem och på våra arbetsplatser. Vi började ladda ner känslig data på ett USB-minne som vi tog med oss hem, utan onda avsikter, för att kunna fortsätta att arbeta hemma. Eller så skickade vi ett mail till vår privata mail. Utan att tänka på det, så fanns det plötsligt data utanför arbetsplatsens IT-miljö. En helt ny form av exponeringen växte fram och de cyberkriminella var inte sena att utnyttja det faktumet”, säger hon och fortsätter.
”För dagens unga, som har växt upp med Internet, är det en självklarhet att man ska komma åt sina data var man än befinner sig. De kanske aldrig har hållit i ett USB-minne men är däremot vana att sitta i publika miljöer och vara uppkopplade mot sin arbetsgivares IT-system. Det är ett bekvämt sätt att arbeta på. Cybersäkerhetsbranschen borde tänka likadant med det viktiga tillägget att åtkomsten ska ske på ett säkert sätt. Min uppfattning är tyvärr att det gamla perimetertänket fortfarande är alltför vanligt förekommande och det gör mig riktigt bekymrad. Jag och mina kollegor på IBM ser det som en av våra viktigaste uppgifter att få alla att tänka till, tänka nytt och tänka säkert! En av de största farorna är att vi alla uppskattar enkla och bekväma lösningar. Zero Trust-filosofin dök upp redan 2010 och den blir tyvärr bara mer sann och viktig för varje år som går; Lita inte på någon, Lita inte på något!”, förklarar hon engagerat.
Människan är av naturen lat!
Det gamla talesättet – Människan är av naturen lat – är tyvärr en sanning som spelar de cyberkriminella rakt i händerna. När gränserna mellan vår arbetsplats och vårt privatliv alltmer suddas ut ställs det nya krav på cybersäkerhetslösningarna men också på oss som individer. Det är en av huvudpunkterna i Kajas resonemang. Hur ska vi enskilda personer resonera för att inte utsätta oss själva, och våra arbetsgivare, för till exempel en Ransomware-attack?
”Det första är att skapa insikten om att min arbetsgivare kan bli attackerad via min, eller min familjs, hemdator eller smarta mobil. Här kommer återigen bekvämligheten i vardagen in i bilden. Jag har full förståelse för om någon för att få en stunds lugn och ro i hemmet på kvällen, efter en slitsam arbetsdag, lämnar över sin jobbdator till barnen så att de kan spela spel eller titta på något roligt en stund. Mitt budskap är att om vi förstår att vi då utsätter våra arbetsgivare, och oss själva, för risken för ett intrång så hanterar vi förmodligen sådana situationer på ett klokare sätt”, menar Kaja.
”Ett annat exempel är användandet av lösenord. Jag avråder verkligen ifrån att använda samma lösenord i till exempel sina privata sociala medier som i inloggningen till sin arbetsplats. Även om det är enklare att komma ihåg ett fåtal lösenord så ökar risken markant om man använder, i princip, ett och samma lösen både på jobbet och privat”, säger hon bestämt.
Hur går det för Sverige då?
I vårt samtal med Kaja flyttar vi fokus från den enskilde individen till vad våra företag och myndigheter gör, och bör göra, för att minska risken för olika former av IT-attacker. Sverige är väl ändå bra rustat när det gäller IT-säkerhet frågar vi henne.
”Sverige har länge legat bra till i jämförelse med andra länder. Tyvärr stämmer inte den bilden längre. Om vi börjar med att titta på cybersäkerhet i Norden så har Norge gått om Sverige. Jag vill vara tydlig med att jag inte säger det för att Norge är mitt hemland”, säger Kaja med glimten i ögat.
Vi tror henne givetvis och ber om ett exempel på detta faktum.
”En viktig parameter är att Norge har varit snabbare när det gäller att få en samordnande myndighet, med ansvar för cybersäkerhet, på plats och verksam. I Sverige har vi tyvärr fastnat vid ritbordet när man har skissat på en motsvarande myndighet. En av knäckfrågorna, som jag har förstått det, är att det finns flera befintliga instanser som känner sig kallade att hålla i rodret:
- Socialstyrelsen
- Folkhälsomyndigheten
- Försvarsmakten
Jag tror att det är viktigt att vi så snart som möjligt får ett Nationellt Cybersäkerhetscentrum på plats i Sverige. Det brådskar enligt mig. Om vi sedan fortsätter att lyfta blicken från Sverige och Norge så är det tyvärr så att även Norden, totalt sett, har tappat sin position gentemot andra länder och regioner. Såväl England, Tyskland och USA har gått förbi Norden när det gäller kampen mot de cyberkriminella”, förklarar hon bekymrat.
Vad ska företagen tänka på?
Vad tycker då Kaja är viktigt att tänka på för företag och organisationer?
”Det är inte helt lätt att svara på eftersom det verkligen är komplexa utmaningar som de ställs inför. Jag väljer att lyfta fram två saker först; Det ena är att det har funnits en övertro på att SOC (Security Operations Centers) skulle lösa allt, men det tycker inte jag. SOC ser helt enkelt inte allt. Det andra är att vi, samtliga aktörer inom IT-säkerhet, måste bli duktigare på att samarbeta. Att lära oss av varandras framgångar och misstag samt att vara transparenta när en attack inträffar. Det senare är något som de börsnoterade företagen inte alltid är så bekväma med. I genomsnitt tar det cirka 265 dagar innan ett intrång upptäcks. Ett sätt att öka medvetenheten om att du kan råka ut för ett intrång, eller kanske redan har det, är att få höra om att andra företag, kanske i samma bransch, är utsatta för en attack. Då bör insikten om pågående hotbilder rimligen öka”, menar hon.
Efter den senaste tidens olika attacker som blivit mediala, nu senast Aktieinvest, undrar vi om hon tror att konsumenterna kommer att få en större acceptans för att det plötsligt inte går att handla i en specifik affär eller att vi inte kommer åt våra bankkonton eller sociala medier. Kaja tror inte alls att vi kommer till det läget och det vet hackarna om. Vi förväntar oss att allt runt omkring oss bara ska fungera. Samtidigt säger hon att en fördel med det är att då kan inte företag och organisationer koppla av och luta sig tillbaka. Då är inte frågan om utan när du får ett dataintrång.
Den största utmaningen!
Det är en komplex och tuff bild av cybersäkerheten som Kaja och hennes kollegor visar upp, bland annat i rapporten; IBM X-Force. Vad ser hon som den största utmaningen?
”Personalbrist säger jag spontant. Det finns ett skriande behov av personal med rätt kompetens. Det här är ett faktum som det kommer att ta tid att komma till rätta med eftersom det bland annat grundar sig i att utbildningssidan inte har hängt med. Många leverantörer försöker lösa det med att starta egna avdelningar för cybersäkerhet. Branschen är fortfarande tämligen ung och därmed kanske lite omogen. Vi måste attrahera medarbetare med en bred kunskap och sedan utbilda dessa fortlöpande eftersom hotbilder och annat förändras ständigt. De cyberkriminella ligger inte på latsidan och då gäller det för oss att hålla jämna steg eller helst steget före”, avslutar Kaja.
Vi tackar Kaja Narum för ännu ett spännande samtal och det gör vi med insikten;
Tänk till, tänk nytt och tänk säkert!
Läs mer i rapporten IBM X-Force: https://www.ibm.com/security/data-breach/threat-intelligence
